Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Wie häufig nutzt du die Schweizer Messenger-App? Die Umfrage dazu folgt unten in der Story. bild: shutterstock

Tschüss WhatsApp? Threema, die Schweizer Alternative, erhält sehr gute Noten

Unabhängige IT-Experten haben die iPhone- und Android-App unter die Lupe genommen. Zudem will die Firma den Quellcode in Kürze offenlegen.



Die Schweizer Smartphone-App Threema, die es für iPhones und Android-Handys gibt und die über den Browser auf dem PC genutzt werden kann, ist von unabhängigen IT-Experten einer professionellen Sicherheitsüberprüfung unterzogen worden. Über den sogenannten «Sicherheitsaudit» informiert die Threema GmbH im Firmenblog (siehe Quellen).

watson hat den 19-seitigen Bericht gelesen und fasst die wichtigsten Erkenntnisse zusammen. Die Entwickler versprechen zudem, «volle Transparenz» zu schaffen. Darum soll der Quellcode der Threema-Apps «in Kürze» offengelegt werden. (Eine entsprechende Ankündigung war bereits erfolgt.)

Gibt's gefährliche Sicherheitslücken?

Nein. Die Überprüfung durch die Fachleute der deutschen IT-Sicherheitsfirma Cure53 ergab keine gravierenden Schwachstellen oder potenziell verheerende Sicherheitslücken. Bei dem sogenannten Penetration-Test wurde versucht, die iPhone- und die Android-Version der Threema-App zu hacken und User-Daten abzufangen. Ohne Erfolg.

Im Bericht heisst es, Cure53 sei bei der im Oktober 2020 durchgeführten Prüfung zu einem positiven Urteil gekommen. Dies werde unterstrichen «durch die niedrige Gesamtpunktzahl der Probleme und die begrenzten Schweregrade, die den entdeckten Fehlern zugeschrieben werden».

Die Prüfer sind voll des Lobes in ihrem Bericht, der von Threema in Auftrag gegeben worden war und auf der Threema-Website als PDF-Dokument verfügbar ist. Sie beschreiben ihren Gesamteindruck bezüglich der Codequalität von Threema und der allgemeinen Struktur des Softwareprojekts als «aussergewöhnlich solide». Aufbau und Umsetzung seien zweifellos von einem «seltenen Team erfahrener und sicherheitsaffiner Entwickler» durchgeführt worden.

Bild

Der Bericht mit den technischen Details ist frei einsehbar. screenshot: threema.ch

Wie reagieren die Threema-Entwickler?

Von den wenigen «unkritischen Verbesserungsvorschlägen», die die Tester vorbrachten, seien einige bereits in den aktuellen App-Versionen berücksichtigt worden, und die anderen würden mit kommenden Updates umgesetzt.

Weiter empfiehlt der Prüfbericht den Threema-Entwicklern, parallel zur Veröffentlichung des Quellcodes ein vernünftiges Bug-Bounty-Programm zu installieren. Dies soll in Zukunft unabhängige IT-Experten motivieren, «kontinuierlich nach Schwachstellen in der bereits vorhandenen Codebasis und allen zukünftigen Änderungen derselben zu suchen».

Dazu schreibt Roman Flepp von Threema:

«Wir haben die Empfehlung zur Kenntnis genommen und überlegen uns auf die Offenlegung des Quellcodes hin, ob und wie wir ein solches Programm ausgestalten.»

Zuletzt hatte das Labor für IT-Sicherheit der FH Münster im Jahr 2019 einen Audit zu Threema durchgeführt. Auch damals zeigten sich keine gravierenden Schwachstellen.

Warum Threema nutzen?

Threema kostet für den Privatgebrauch eine einmalige kleine Gebühr (3 Fr.) und ist werbefrei. Wie andere «abhörsichere» Smartphone-Messenger hat Threema eine Ende-zu-Ende-Verschlüsselung implementiert, so dass die übers Internet gesendeten Daten nicht eingesehen werden können.

Die Entwicklerfirma betont, dass keine Userdaten (Metadaten) gesammelt würden. Für Firmen und Schulen gibt es Threema als kostenpflichtige sichere Kommunikationsplattform.

Die App kann im Gegensatz zu Facebooks WhatsApp auch ohne (eigene) Mobilfunknummer genutzt werden. Man braucht nur eine Threema-ID, die man auch ohne Verbindung zu einer E-Mail-Adresse anlegen kann.

Damit die eigene Threema-ID, die Kontakte und Gruppen (sowie weitere Daten und Einstellungen) nicht verloren gehen, lässt sich freiwillig ein verschlüsseltes Cloud-Backup erstellen. Diese Funktion wird Threema Safe genannt, wobei der Speicherort für das Backup selber festgelegt werden kann.

Warum nicht Signal?

Der Funktionsumfang der App ist kleiner und User-Daten landen auf Servern, die im direkten Zugriffsbereich der amerikanischen Geheimdienste liegen. Zudem setzt Threema das Sicherheitskonzept Privacy by Design (Datensparsamkeit) vorbildlich um. Dass bei Signal zur Registrierung eine Mobilfunknummer verlangt wird, gilt als ein grosser Nachteil.

Im Mai dieses Jahres hat Signal eine PIN-Funktion eingeführt, die es ermöglicht, von wichtigen persönlichen Daten ein verschlüsseltes Cloud-Backup zu erstellen. «Secure Value Recovery» soll die Wiederherstellung der Daten im Falle eines Geräteverlusts oder Gerätewechsels ermöglichen. Mittelfristig soll auch erreicht werden, dass sich User nicht mehr zwingend mit ihrer Mobilfunknummer registrieren müssen.

Die neue PIN-Funktion, mit der sich Kontakte, Profil-Informationen, Einstellungen und weitere Daten auf einem Signal-Server speichern lassen, hat Sicherheitsexperten alarmiert. Sie kritisierten die Entwickler und drohten damit, die App nicht mehr zu verwenden, wie «Vice» im Juli berichtete.

Und jetzt du!

Wie häufig nutzt du Threema?

Quellen

Der Chef kämpft gegen die Smartphone-Plage (im watson-Video):

Video: watson/madeleine sigrist, maurice thiriet, nico franzoni

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Keine Lust, Facebook noch mehr Daten zu liefern? Hier sind 6 Alternativen zu WhatsApp

SwissCovid-App noch nicht installiert?

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

WhatsApp krebst (vorerst) zurück, weil viele User zu Signal und Co. wechseln

WhatsApp will den Usern bis im Mai 2021 Zeit geben, bevor es die neue Datenschutz-Richtlinie zur Pflicht macht. Zuvor hatte der Messengerdienst mit einem Massenexodus zu kämpfen.

Die Verantwortlichen des Messenger-Dienstes WhatsApp gaben am Freitagabend bekannt, dass sie die geplante Datenschutzbestimmungs-Änderung nicht am 8. Februar, sondern erst am 15. Mai 2021 aktivieren wollen.

Die angekündigte Änderung führte diese Woche zu einem Massenexodus: Viele Userinnen und User wechselten zu Alternativ-Apps wie Signal oder Threema, was wohl auch den WhatsApp-Verantwortlichen auffiel. Ihrer Kommunikation nach handle es sich dabei aber um «eine Menge Fehlinformationen», …

Artikel lesen
Link zum Artikel